4分の1の生成AIアプリが“静かに事故る”　MCP時代の落とし穴をGartnerが指摘

AIエージェントの普及が進む中、その裏で見過ごされがちな異変が増え始めている。ガートナーは2028年までに、4分の1の企業向け生成AIが年間複数の軽微なインシデントに見舞われると予測した。利便性と引き換えに広がるリスクの正体と対策の勘所とは。

» 2026年04月13日 07時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　調査会社Gartnerは2026年4月9日（米国時間）、2028年までに全ての企業向け生成AIアプリケーションの25％が、少なくとも年間5件の軽微なセキュリティインシデントを経験すると予測を発表した。

　Gartnerのアーロン・ロード氏（シニアディレクターアナリスト）は「生成AIアプリケーションにおける軽微なセキュリティインシデントの発生率は、今後さらに増加する見込みだ。最終的には2029年までに、全ての企業向け生成AIアプリケーションの15％が年間少なくとも1件の重大なセキュリティインシデントを経験するようになるだろう」と話す。

4分の1の生成AIアプリが事故る未来　MCP時代の落とし穴と対処法とは？

　Gartnerによる2025年の予測では、対象の生成AIアプリケーションの割合は9％だったため大幅に増加する見通しだ。いったいこの背景には何があるのか。

　Gartnerによると、組織がMCP（Model Context Protocol）などを使ってエージェント型AIアプリケーションの構築や統合を進める中、新たな攻撃ベクトルや未成熟なセキュリティプラクティスがリスクエクスポージャ（システムやデータが脅威にさらされる度合い）の大幅な増加を招くことになるという。

　MCPの設計は、相互運用性と開発者のスピードを最適化しており、基本設計として強固なセキュリティが組み込まれているわけではない。そのため、通常の利用においてもミスが表面化する可能性がある。特にエージェントが同一のフロー内で、機密データへのアクセス可能や信頼できないコンテンツを取り込める、もしくは外部と通信できる場合には注意が必要だ。ソフトウェア・エンジニアリング・リーダーは、これら3つの要素が組み合わさるユースケースを情報持ち出しのリスクが高いことから「ノーゴー・ゾーン（立ち入り禁止領域）」と捉えて警戒すべきだ。

　ソフトウェア・エンジニアリング・リーダーは、データエクスポージャによるインシデントから、広く利用されるサードパーティーコンポーネントの脆弱（ぜいじゃく）性まで、広範なセキュリティリスクに備える必要がある。Gartnerはこれらのリスクに向けて以下の保護策を推奨している。

厳格なセキュリティのレビュープロセスの確立：データやセキュリティ、インフラの各チームと連携し、MCPのユースケースに対する正式なセキュリティレビューを実施する
低リスクのユースケースの優先：低リスクのパターンを優先し、高リスクの組み合わせを明示的に除外する
既知の脅威パターンの緩和：コンテンツインジェクション攻撃やサプライチェーンの脅威、AIが役に立とうとして誤った結果として生じる機密データの開示や権限の昇格といった、既知の脅威パターンに焦点を当てたMCPの脆弱性を緩和する
エージェント型AIを強力かつ安全に保つためのガードレールをドメイン（特定分野）の専門家が事前定義できるようにすること：MCPクライアントにデータやリソースへのアクセスを許可する前にガードレールを定義する。専門家と連携し、エージェント型AIにおける「デフォルトで安全」なやりとりを確保できるよう、逆算して取り組む

～記者の目：ニュースをちょっと深堀り～

今回のポイントは「軽微なインシデント」の中身だ。これは単なるヒヤリハットでは済まない。例えば社内向けに生成AIチャットbotが、プロンプトの文脈から過去の問い合わせログを引用し、他部署の機密情報を表示するケース。または、AIエージェントがSaaSと連携する過程で、意図せず認証トークンをログに残し、それが開発者ツール経由で閲覧可能になるケースなども想定される。いずれも単発では重大事故と認識されにくいが、繰り返されれば確実に情報漏えいリスクを高める。

MCP活用のようにスピードと柔軟性を優先した開発では、開発者が意図しないデータフローが生まれやすい。Gartnerの推奨策は妥当に見えるが、実装には幾つかの障壁がある。1つ目はセキュリティレビューをする人材とスキルの不足だ。AI特有のリスクを理解したレビュー体制は多くの企業でまだ整備できていないのが実態だろう。2つ目は、「低リスクユースケースの優先」は現場のニーズと衝突することだ。実際には高付加価値なユースケースほどリスクも高く、ビジネス部門が制約を受け入れない可能性がある。3つ目は、ガードレールの事前定義は理想論に近く、ドメイン知識とセキュリティ知識の両立が求められるため、現実には後追い対応になりがちなことだ。

結果として、多くの企業は「軽微なインシデントを許容しながら前進する」状態に置かれるだろう。このとき重要なのは、発生頻度を前提にした監視と検知の設計に発想を転換できるかどうかだ。生成AIはもはや“守る対象”ではなく“継続的に逸脱する前提で制御する対象”に変わりつつある。（田渕聖人）

「ランサムウェアはムカつく」　半田病院に潜入して被害現場のリアルを知る【動画あり】
国内でのランサムウェア被害が多発する今、被害企業の生の声を知ることは自社の防御を固める上で大きなアドバンテージになります。では半田病院はインシデントが起きたとき何をして何を学んだのか。現地に潜入してリアルを聞いてきました。
アサヒのランサム被害の教訓を生かせ　流通大手がISAC設立、その背景と課題を読みとく
サイバー攻撃が“1社の問題”では済まなくなった今、流通大手が動いた。アサヒやNTTらが業界横断で脅威情報を共有する新たな枠組み「流通ISAC」（Information Sharing and Analysis Center）を立ち上げる。しかし、その真価は本当に発揮されるのか。連携の裏側に潜む課題も考える。
ランサムウェア「身代金総額は減った」が攻撃は増加、“中小”が狙われている？
ブロックチェーン分析企業Chainalysisは、2025年のランサムウェア身代金支払い総額が前年比約8％減の8億2000万ドルだったと発表した。攻撃件数は増加して過去最高を記録したが、支払い率は過去最低水準になった可能性がある。
日本企業は10年で「VPN 2.0」を導入しただけ　「ゼロトラストごっこ」を終わらす現実的な生存戦略
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、パロンゴ取締役兼最高技術責任者林達也氏が「ゼロトラストの真の意義とその環境～ゼロトラストっぽさとの決別～」と題して講演した。